ゼロデイ攻撃
定義
ゼロデイ攻撃とはベンダーがまだ把握していない、またはパッチを提供していない脆弱性を突いた攻撃で、「パッチDay 0以前から始まる」という意味で「ゼロデイ」と呼ばれます。パッチが存在しない段階では完全な防御は定義上できず、最も危険な脅威クラスの一つです。高価値なゼロデイは国家支援のAPTグループが諜報・妨害工作に使うほか、Zerodiumなどのゼロデイブローカーが数十万〜数百万ドルで売買しています。パッチがない段階での戦略は多層防御(EDRの異常挙動検知・ネットワークセグメンテーション・攻撃対象領域の縮小・仮想パッチ)で被害を最小化することです。CISAのKEV(Known Exploited Vulnerabilities)リストで実際に悪用が確認されたゼロデイを追跡でき、EPSS(Exploit Prediction Scoring System)スコアと組み合わせることで、現実的な優先対応が可能になります。
詳細解説
ゼロデイ脆弱性の市場価格はCVSSスコア・対象ソフトウェアの普及度・悪用難易度によって数十万〜数百万ドルに達することがあります。ベンダーへの脆弱性報告(責任ある開示)が完了するまでのエンバーゴ(公表禁止)期間は通常90日程度で、それ以前に悪用されることが問題になっています。
ポイント
- パッチがない段階では完全防御は困難 — 多層防御(Defense in Depth)で被害を最小化
- EDRの異常挙動検知で既知シグネチャがない攻撃でも検知できる場合がある
- 脅威インテリジェンスで「ゼロデイが流通している」情報を早期に把握する
- 攻撃対象領域の最小化(不要サービスの無効化・公開サービスの削減)が基本対策
関連用語
よくある質問
ゼロデイ攻撃とは?
パッチが未提供の脆弱性(ゼロデイ脆弱性)を突いた攻撃。ベンダーが脆弱性を認識した日を「Day 0」とし、それ以前から始まることが多い。防御が困難で価値が高い。
ゼロデイ攻撃について詳しく知るには?
ゼロデイ脆弱性の市場価格はCVSSスコア・対象ソフトウェアの普及度・悪用難易度によって数十万〜数百万ドルに達することがあります。ベンダーへの脆弱性報告(責任ある開示)が完了するまでのエンバーゴ(公表禁止)期間は通常90日程度で、それ以前に悪用されることが問題になっています。
ゼロデイ攻撃のポイントは?
パッチがない段階では完全防御は困難 — 多層防御(Defense in Depth)で被害を最小化 EDRの異常挙動検知で既知シグネチャがない攻撃でも検知できる場合がある 脅威インテリジェンスで「ゼロデイが流通している」情報を早期に把握する 攻撃対象領域の最小化(不要サービスの無効化・公開サービスの削減)が基本対策
同じカテゴリの用語(攻撃手法)
攻撃者が正規サービスと利用者の間に入り、認証情報やセッションを中継・窃取するフィッシング手法。…
国家支援組織や高度な技術を持つ攻撃グループによる長期・潜伏型の標的型攻撃。数ヶ月〜数年かけて侵入・維持・情報収集を行う。…
取引先や経営者になりすまして送金、請求書変更、機密情報送付を促すビジネスメール詐欺。…
実在ブランド、取引先、社内組織になりすまし、利用者に誤操作や情報入力を促す攻撃。…
ログインID、パスワード、トークン、MFAコードなどの認証情報を大量または継続的に収集する行為。…
他サービスから漏えいしたIDとパスワードの組み合わせを使い、別サービスへのログインを試す攻撃。…